Pesë dobësi janë identifikuar në bibliotekën Libxml2, të zhvilluar nga projekti GNOME dhe të përdorur për të analizuar përmbajtjen XML, dy prej të cilave mund të çojnë potencialisht në ekzekutimin e kodit gjatë përpunimit të të dhënave të jashtme të formatuara posaçërisht. Biblioteka Libxml5 përdoret gjerësisht në projekte me burim të hapur dhe, për shembull, përdoret si një varësi në më shumë se 2 paketa nga Ubuntu.
Dobësia e parë (CVE-2025-6170) shkaktohet nga një mbingarkesë e memorjes së përkohshme (buffer overflow) në zbatimin e shell-it interaktiv xmllint që përdoret për të analizuar skedarët XML. Mbingarkesa ndodh kur përpunohen argumente shumë të gjata të komandës për shkak të mungesës së validimit të duhur të madhësisë së të dhënave hyrëse para se të kopjohen të dhënat duke përdorur funksionin strcpy(). Për të shfrytëzuar dobësinë, një sulmues duhet të jetë në gjendje të ndikojë në komandat e kaluara në programin xmllint. Një patch për të rregulluar dobësinë nuk është ende i disponueshëm.
Dobësia e dytë (CVE-2025-6021) është e pranishme në zbatimin e funksionit xmlBuildQName() dhe çon në shkrimin e të dhënave përtej buffer-it për shkak të një mbingarkese të numrave të plotë kur llogaritet madhësia e buffer-it bazuar në prefiksin dhe emrin lokal. Për të shfrytëzuar dobësinë, një sulmues duhet të zëvendësojë të dhënat e tij në argumentet prefiks dhe ncname të kaluara në funksionin xmlBuildQName(). Është përgatitur një patch për të eliminuar dobësinë. Rregullimi është përfshirë në versionin libxml2 2.14.4. Ju mund të kontrolloni statusin e një versioni të ri të paketës ose përgatitjen e një rregullimi në shpërndarje në faqet vijuese (nëse faqja nuk është e disponueshme, kjo do të thotë që zhvilluesit e shpërndarjeve nuk kanë filluar ende ta marrin në konsideratë problemin): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo dhe Arch (1, 2).
Tre problemet e tjera rezultojnë në një bllokim për shkak të një qasjeje në një zonë memorieje tashmë të liruar në funksionin xmlSchematronGetNode (CVE-2025-49794), një çreference të treguesit null në funksionin xmlXPathCompiledEval (CVE-2025-49795) dhe një trajtimi të gabuar të llojeve (Konfuzion i Tipit) në funksionin xmlSchematronFormatReport (CVE-2025-49796). Për të adresuar këto dobësi, po merret në konsideratë mundësia e heqjes së mbështetjes për gjuhën e shënjimit Schematron nga libxml2.
Për më tepër, tre dobësi të papajisura janë vërejtur në bibliotekën e pamirëmbajtur libxslt. Informacioni mbi këto probleme nuk është zbuluar ende dhe është planifikuar të publikohet më 9 korrik, 13 korrik dhe 6 gusht. Dobësitë e papajisura dhe ato të pazbuluara publikisht janë vërejtur gjithashtu në projektet e lidhura me GNOME gvfs, libgxps, gdm, glib, GIMP dhe libsoup.
Përditësim: Mirëmbajtësi i libxml2 ka njoftuar se tani do t'i trajtojë dobësitë si gabime të zakonshme, nuk do t'i përparësojë ato, do t'i rregullojë ato kur të ketë kohë dhe do të zbulojë menjëherë natyrën e dobësisë pa vendosur një embargo ose pa dhënë kohë për t'i rregulluar ato në produktet e palëve të treta.
Burimi: opennet.ru
